Für Unternehmen: Datenschutzregelung für Mitarbeiter und Auszubildende

Für Unternehmen: Datenschutzregelung für Mitarbeiter und Auszubildende

DATENSCHUTZMITTEILUNG FÜR ENDKUNDEN

HINSICHTLICH KONTAKTDATEN UND KUNDENDATEN VON NATÜRLICHEN PERSONEN BEI DRITTLIZENZVERTRÄGEN

der VE Vision Education GmbH

FN 462915h

c/o Impact Hub Vienna Gmbh, Lindengasse 56

1070 Wien

Fassung vom 25. Jänner 2021

(im Folgenden „Wir“ oder der „Verantwortliche“)

1. Präambel

1.1. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, welches wir sehr ernst nehmen. Jegliche Datenverarbeitung erfolgt im Einklang mit der EU-Datenschutz-Grundverordnung (im Folgenden „DSGVO“) sowie den einschlägigen Gesetzen der Republik Österreich.

1.2. Im Zuge unseres Geschäftsbetriebs erbringen wir unterschiedliche Dienstleistungen, bei denen personenbezogene Daten natürlicher Personen verarbeitet werden. Bei Lizenzvereinbarungen erwerben Interessensverbände, Ausbildner, Unternehmen oder vergleichbare sonstige Dritte (im Folgenden „Lizenznehmer“ oder der datenschutzrechtliche „Verantwortliche“) Lizenzen im eigenen Namen und auf eigene Rechnung und erhalten durch die Lizenzvereinbarung das Recht, Nutzercodes an einen bestimmten Personenkreis (Schüler oder Studenten des Lizenznehmers, Auszubildende, Mitarbeiter des Lizenznehmers, udgl.; im Folgenden „Endnutzer“) weiterzugeben (im Folgenden „Lizenzvereinbarung“). Mit diesen Nutzercodes können die Endnutzer unsere Dienstleistungen und Angebote, die wir im Auftrag des Lizenznehmers bereitstellen, konsumieren.

1.3. In diesem Dokument erläutern wir Ihnen als Endnutzer unsere Verfahren bezüglich der Erfassung, Verwendung und Offenlegung von personenbezogenen Daten natürlicher Personen, die wir im Rahmen von Lizenzvereinbarungen verarbeiten.

2. Datenschutzrechtlicher Verantwortlicher bei Lizenzvereinbarungen

2.1. Sämtliche Datenverarbeitungen, die wir bei Lizenzvereinbarungen im Auftrag des Lizenznehmers durchführen, verarbeiten wir als Auftragsverarbeiter iSd Art 28 DSGVO. Der datenschutzrechtliche Verantwortliche iSd Art 4 Z 7 DSGVO ist bei Lizenzvereinbarungen der Lizenznehmer, von dem Sie den Nutzercode erhalten haben.

2.2. Der Verantwortliche entscheidet, welche unserer Dienstleistungen und Angebote Sie konsumieren können. Der Verantwortliche ist zur Wahrung Ihrer Datenschutzrechte nach der DSGVO und den anwendbaren nationalen Datenschutzvorschriften verpflichtet.

3. Welche Daten durch uns als Auftragsverarbeiter von Ihnen verarbeitet werden

3.1. Um unsere Angebote nutzen zu können, ist es zwingend erforderlich, personenbezogene Daten unserer Nutzer zu verarbeiten (im Folgenden „zwingende Datenverarbeitungen“). Nachstehend informieren wir Sie über jene Datenkategorien, die zur Nutzung unserer Dienstleistungen und Angebote zwingend verarbeiten müssen:

Nutzercode / Direktlink
Der Nutzercode bzw. Direktlink ist jener Code bzw. jene Internet-Adresse, die Sie vom Lizenznehmer erhalten haben und mit welchem Sie unsere Softwareangebote freischalten und nutzen können. Festgehalten wird, dass uns Ihr Nutzercode nur in pseudonymisierter Form vorliegt.

IP-Adresse
Unser Softwareangebot wird nicht abschließend auf Ihrem Endgerät (Tablet-Computer, Mobiltelefon, udgl.; im Folgenden „Endgerät) gespeichert. Um unser Softwareangebot nutzen zu können, ist es zwingend erforderlich, dass eine Internetverbindung zu unseren Servern hergestellt wird. Damit Datenpakete im Internet versendet werden können, braucht jeder Sender und jeder Empfänger eine sogenannte IP-Adresse, welche im Zuge des Datenaustauschs zwingend verarbeitet und gespeichert wird.

eMail Adresse

Telefonnummer

interaktive Nutzerdaten
(wie z.B. Punktestand, Lernfortschritt oder Spielergebnis)

3.2. Der Lizenznehmer kann uns darüber hinaus beauftragen, weitere Datenverarbeitungen durchzuführen (im Folgenden „außerordentliche Datenverarbeitungen“). Beispielsweise kann der Lizenznehmer uns zur Auswertung der interaktiven Nutzerdaten beauftragen und uns zur Übermittlung des Auswertungsergebnisses verpflichten. Welche außerordentlichen Datenverarbeitungen von uns durchgeführt werden, hängt von unserer vertraglichen Vereinbarung ab, die wir mit dem Verantwortlichen geschlossen haben. Sollten wir mit außerordentlichen Datenverarbeitungen beauftragt worden sein, so informiert Sie der Verantwortliche gesondert über Zweck, Mittel und Rechtsgrundlage der Datenverarbeitung.

4. Zwecke der gegenständlichen Datenverarbeitung und Rechtsgrundlage

Wir verarbeiten Ihre Daten auf Basis der Vereinbarung zur Auftragsverarbeitung, die wir mit dem Lizenznehmer geschlossen haben. Über Zweck und Rechtsgrundlage der Datenverarbeitung informiert Sie der Verantwortliche.

5. Ort der Datenverarbeitung und Übermittlung ihrer personenbezogenen Daten

5.1. Um unsere Dienstleistungen und Angebote anbieten zu können, ist es notwendig, die unter Punkt 3 genannten Daten an externe IT-Dienstleister (Subauftragsverarbeiter) weiterzuleiten. Datenverarbeitungstätigkeiten werden daher zumindest zum Teil auch außerhalb der EU bzw des EWR durchgeführt, und zwar in den USA. Eine solche Beauftragung eines externen IT-Dienstleisters erfolgt gemäß Art 28 Abs 4 DSGVO zwingend nur unter Maßgabe der Rechtsinstrumente des Kapitels V DSGVO.

5.2. Das angemessene Datenschutzniveau ergibt sich im jeweiligen Fall aus einem oder mehreren der folgenden Punkte:

  • einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO;
  • einer Ausnahme für den bestimmten Fall nach Art 49 Abs 1 DSGVO;
  • verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b DSGVO;
  • Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO;
  • Verhaltensregeln nach Art 46 Abs 2 lit e iVm Art 40 DSGVO;
  • einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f iVm Art 42 DSGVO;
    von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO.

5.3. Derzeit werden von uns folgende externe IT-Dienstleister hinzugezogen:

Horizon Alpha GmbH, Fraunhoferstraße 8, D-82152 Planegg, Deutschland: Dieser Sub-Auftragsverarbeiter ist für die Verarbeitung von Kundendaten für Registrierungsdaten, Reporting, Code-Verwaltung, Lernfortschrittsdaten, Kundendatenverwaltung zuständig und ist für den technischen 2nd Level Support zuständig.

Google LLC, Google Data Protection Office, 1600 Amphitheatre Pkwy, Mountain View, California 94043 United States: Bei diesem Dienstleister werden unsere Kundendaten, Lernfortschrittsdaten, Korrespondenzdaten und unsere Datenbanken gespeichert. Google LLC hat seinen Sitz in den USA. Der Transfer von Daten durch uns an Google LLC erfolgt auf der Basis von Standarddatenschutzklauseln nach Art 46Abs 2 lit c und d DSGVO sowie auf Basis von seitens der jeweils zuständigen Datenschutzbehörde genehmigten Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO, welche unter [https://firebase.google.com/terms/firebase-mcc], [https://cloud.google.com/terms/eu-model-contract-clause] und [https://admin.google.com/terms/apps/1/5/en/mcc_terms.html] abrufbar sind, wodurch ein angemessenes Datenschutzniveau gewährleistet wird und der Datenfluss an dieses Unternehmen zulässig ist.

Branch.io, 645 High Street Palo Alto, CA, 94301 United States: Bei diesem Dienstleister werden temporär die IP-Adressen für die Verwaltung des Deeplinks und ggf. temporär die Telefonnummer, iOS Identifier und Android ID gespeichert. Branch.io hat seinen Sitz in den USA. Der Transfer von Daten durch uns an Branch.io erfolgt auf der Basis von Standarddatenschutzklauseln nach Art 46Abs 2 lit c und d DSGVO sowie auf Basis von seitens der jeweils zuständigen Datenschutzbehörde genehmigten Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO, welche unter [https://www2.branch.io/rs/315-FTT-121/images/PDF-Branch-AppDPA.pdf] abrufbar sind, wodurch ein angemessenes Datenschutzniveau gewährleistet wird und der Datenfluss an dieses Unternehmen zulässig ist.

Abgesehen von den in Punkt 5.3 genannten Fällen werden Daten nur auf Weisung des Verantwortlichen weitergegeben. Darüber hinaus könnten Ihre Daten in den folgenden Fällen an Dritte weitergegeben werden:

  • Um gerichtlichen Aufforderungen nach Vorlage der Daten nachzukommen, einem Gerichtsbeschluss oder einem Gerichtsverfahren Folge zu leisten, um die gesetzlichen Rechte zu begründen oder auszuüben oder sich gegen Rechtsansprüche zu wehren.
  • Wenn die Weitergabe von Daten nach unserer Überzeugung erforderlich ist, um rechtswidrige Aktivitäten, mutmaßlichen Betrug, Situationen mit potentieller Bedrohung der physischen Sicherheit einer Person oder Verletzungen der Nutzungsbedingungen zu untersuchen, zu verhindern oder aber in jenen Fällen, in denen dies gesetzlich vorgeschrieben ist.
  • Zu einer Datenübertragung kann es auch dann kommen, wenn unser Unternehmen oder Teile unseres Unternehmens durch einen Dritten übernommen werden oder unser Unternehmen oder Teile unseres Unternehmens mit einem anderen Unternehmen fusioniert werden. Bevor Ihre die Daten übertragen werden und anderen Datenschutzrichtlinien unterliegen, werden Sie rechtzeitig über unsere App und/oder Ihre Ausbildungsstätte bzw. Arbeitgeber gesondert informiert.

6. Dauer der Speicherung

6.1. Grundsätzlich werden wir Ihre Daten nur für die Dauer der Vertragsbeziehung mit dem Lizenznehmer speichern und Verarbeiten. Eine längere Speicherung erfolgt nur auf Aufforderung durch den Verantwortlichen.

6.2. Nähere Informationen zur Speicherdauer erhalten Sie beim Lizenznehmer.

7. Rechte im Zusammenhang mit personenbezogenen Daten

7.1. Nach geltendem Recht sind Sie berechtigt,

  • zu überprüfen, ob und welche personenbezogenen Daten über Sie gespeichert wurden und Kopien dieser Daten zu erhalten;
  • die Berichtigung, Ergänzung oder das Löschen Ihrer personenbezogenen Daten, die falsch sind oder nicht rechtskonform verarbeitet werden, zu verlangen,
  • zu verlangen, die Verarbeitung Ihrer Daten einzuschränken,
  • unter bestimmten Umständen der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen oder die für die Verarbeitungen zuvor gegebene Einwilligung zu widerrufen,
  • Datenübertragbarkeit zu verlangen,
  • die Identität von Dritten, an welche Ihre personenbezogenen Daten übermittelt werden, zu kennen und
  • bei der zuständigen Behörde (Datenschutzbehörde www.dsb.gv.at) Beschwerde zu erheben.

7.2. Wir weisen Sie darauf hin, dass die Zurverfügungstellung Ihrer Daten zwingend erforderlich ist, um unser Softwareangebot nutzen zu können. Weigern Sie sich, Ihre Daten zur Verfügung zu stellen, so hat dies die Folge, dass Sie unser Softwareangebot nicht nutzen können. Die Datenverarbeitung erfolgt unter Maßgabe des Drittlizenzvertrags, welcher zwischen uns und dem Lizenznehmer abgeschlossen wurde.

7.3. Ihre Daten werden nicht im Wege einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 DSGVO verarbeitet.

8. Kontaktaufnahme mit dem Verantwortlichen

Sollten Sie zu der Verarbeitung Ihrer personenbezogenen Daten Fragen oder Anliegen haben, wenden Sie sich bitte an den Verantwortlichen. Der Verantwortliche ist jene Person / Anstalt, von dem Sie Ihren Zugangscode erhalten haben.
Gerne können Sie Ihre Anfrage auch an uns richten und wir werden Ihre Anfrage umgehend an den Verantwortlichen weiterleiten:

VE Vision Education GmbH

c/o Impact Hub, Lindengasse 56

1070 Wien

Email: info@visioneducation.net

English Version

For companies: Data protection regulations for employees and trainees

DATA PROTECTION NOTICE FOR END CUSTOMERS

REGARDING THE CONTACT DATA AND CUSTOMER DATA OF NATURAL PERSONS
WHO HAVE AGREED TO THIRD-PARTY LICENSING AGREEMENTS

VE Vision Education GmbH

FN 462915h
Lindengasse 56
1070 Wien/Vienna
AUSTRIA

Version of 25th January 2021

(hereinafter “We” or the “Responsible Person”)

(In the event of any deviations resulting from the translation of these regulations, the German version shall prevail.)

1. Preamble

1.1. The protection of natural persons in the processing of personal data is a fundamental right that we take very seriously. All data processing is carried out in accordance with the EU General Data Protection Regulation (hereinafter “GDPR”) and the relevant laws of the Republic of Austria.

1.2. In the course of our business operations, we provide various services in which personal data of natural persons are processed. In the case of license agreements, interest groups, trainers, companies or similar other third parties (hereinafter the “Licensee” or the “data protection officer”) acquire licenses in their own name and on their own account and receive the right to pass on user codes to a specific group of persons (students or students of the licensee, trainees, employees of the Licensee, etc.; hereinafter “End User”). These User Codes allow end-users to use the services and offers that we provide on behalf of the Licensee.

1.3. In this document, we, as end-users, explain to you our procedures regarding the collection, use and disclosure of personal data of natural persons that we process under licensing agreements.

2. Data protection law controller for licensing agreements

2.1. As processor, we process all data relating to licensing agreements on behalf of the Licensee. The data protection officer see Art 4 Z 7 GDPR is the Licensee from whom you received the user code in your licensing agreements.

2.2. The data protection officer decides which of our services and offers you can use. The officer is obliged to respect your data protection rights under GDPR and applicable national data protection regulations.

3. What data is processed for the fulfilment of service

3.1. In order to be able to use our offers, it is imperative that we process personal data of users (hereinafter “mandatory data processing”). Below we inform you about those categories of data that must be processed in order to use our services and offers:

User code / direct link
The user code or direct link is the code or Internet address that you received from the Licensee and with which you can activate and use our software offers. Your user code is available to us in pseudonymous form.

IP address
Our software offer is not stored on your device (tablet computer, mobile phone, etc.; hereinafter “end device”). In order to be able to use our software offer, it is imperative that an Internet connection is maintained with our servers. In order for data packets to be sent on the Internet, each sender and receiver needs an IP address, which is necessarily processed and stored in the course of data exchange.

eMail Address

Telephone number

Interactive user data
(such as score, learning progress or game result)

3.2. The Licensee may also instruct us to carry out further data processing (hereinafter “extraordinary data processing”). For example, the Licensee may instruct us to evaluate interactive user data and oblige us to transmit the results or reports thereof. The extraordinary data processing carried out by us depends on our contractual agreement, which we have concluded with the licensee. If we have been entrusted with extraordinary data processing, the data protection officer shall inform you separately about the purpose, means and legal basis of such data processing.

4. Purpose of and legal basis for data processing

We process your data on the basis of the contract processing agreement that we have concluded with the Licensee. The data protection officer is responsible for informing you about the purpose and legal basis of data processing.

5. Place of data processing and transfer of your personal data

5.1. In order to be able to provide our services and offers, it is necessary to forward the data referred to in point 3 to external IT service providers (subcontract processors). Data processing activities are at least partially carried out outside the EU or eEA, namely in the USA. In accordance with Art 28(4) GDPR, such assignment of an external IT service provider is mandatory only in accordance with the legal instruments of Chapter V GDPR.

5.2. The appropriate level of data protection in each case results from one or more of the following points:

  • an adequacy decision of the European Commission under Art 45 GDPR;
  • an exception for the particular case under Art 49(1) GDPR;
  • binding internal data protection rules under Art 47 i Vm Art 46(2) lit b GDPR;
  • standard data protection clauses under Art 46 (2) lit c and d GDPR;
  • approved Code of Conduct in accordance with Art 46 (2) lit e iVm Art 40 GDPR;
  • an approved certification mechanism by type 46 paragraph 2 lit f iVm Art 42 GDPR;
  • contractual clauses approved by the Data Protection Authority in accordance with Art 46 (3) lit a GDPR.

5.3. We currently involve the following external IT service providers:

Horizon Alpha GmbH, Fraunhoferstraße 8, D-82152 Planegg, Germany: This sub-processor is responsible for the processing of customer data for registration data, reporting, code management, learning progress data and customer data management and is also responsible for technical 2nd level support.

Google LLC, Google Data Protection Office, 1600 Amphitheatre Pkwy, Mountain View, California 94043 United States: This service provider stores our customer data, learning progress data, correspondence data and databases. Google LLC is based in the United States. The transfer of data by us to Google LLC is based on standard data protection clauses in accordance with Art 46Abs 2 lit c and d GDPR as well as on the basis of contractual clauses approved by the respective data protection authority in accordance with Art 46 (3) lit a GDPR, which are available at [https://firebase.google.com/terms/firebase-mcc], [https://cloud.google.com/terms/eu-model-contract-clause]and [https://admin.google.com/terms/apps/1/5/en/mcc_terms.html], thereby ensuring an adequate level of data protection and allowing the flow of data to this company.

Branch.io, 645 High Street Palo Alto, CA, 94301 United States: This service provider temporarily stores the IP addresses for managing the deep link and, if necessary, the phone number, iOS identifier and Android ID. Branch.io is based in the United States. The transfer of data by us to Branch.io is carried out on the basis of standard data protection clauses in accordance with Art 46Abs 2 lit c and d GDPR as well as on the basis of contractual clauses approved by the respective data protection authority in accordance with Art 46 (3) lit a GDPR, which are available at [https://www2.branch.io/rs/315-FTT-121/images/PDF-Branch-AppDPA.pdf], thereby ensuring an adequate level of data protection and that the flow of data to this company is permitted.

Apart from the cases referred to in point 5.3 above, data will only be disclosed on the instructions of the data protection officer. In addition, your data may be shared with third parties in the following cases:

  • In order to comply with legal requests for the submission of the data, to comply with a court order or legal proceedings in order to establish or exercise legal rights or to defend against legal claims.
  • If we believe that the disclosure of information is necessary to investigate unlawful activities, suspected fraud, situations with a potential threat to a person’s physical security, or violations of the Terms of Use, or in those cases where required by law.
  • Data transmission may also occur if our company or parts of our company are taken over by a third party or if our company or parts of our company are merged with another company. Before your data is transferred and subject to other data protection policies, you will be  informed separately via our app and/or your training facility or employer in good time.

6. Duration of storage

6.1. In principle, we will only store and process your data for the duration of the contractual relationship with the Licensee. Longer storage is only carried out on request by the data protection officer.

6.2. For more information on the storage period, please contact the Licensee.

7. Rights in connection with personal data

7.1. Under applicable law, you are entitled to:

  • verify that and what personal data has been stored about you and obtain copies of that data;
  • request the correction, addition or deletion of your personal data that is incorrect or is not processed in accordance with the law;
  • restrict the processing of your data;
  • object to the processing of your personal data in certain circumstances or to revoke the consent previously given for the processing;
  • require data portability;
  • know the identity of third parties to which your personal data are transferred; and
  • to the competent authority (data protection authority www.dsb.gv.at).

7.2. The provision of your data is absolutely necessary in order to be able to use our software offer. If you refuse to provide your data, you will not be able to use our software offering. Data processing takes place under the third-party license agreement, which was concluded between us and the Licensee.

7.3. Your data will not be processed by automated decision-making, including profiling in accordance with Article 22 GDPR.

8. Contacting the person responsible

If you have any questions or concerns about the processing of your personal data, please contact the data protection officer. The person responsible is the person/institution from whom you received your access code. You are also welcome to send us your enquiry and we will forward your request to the appropriate person as soon as possible:

VE Vision Education GmbH

c/o Impact Hub, Lindengasse 56

1070 Wien

Email: info@visioneducation.net